Herramienta de análisis de vulnerabilidades de
OWASP
SonarQube: Plataforma de análisis de código estático
Dependency-Check: Analiza las dependencias de librerías de
terceros en busca de vulnerabilidades conocidas
ZAP: Proxy interactivo para pentesting de aplicaciones web
Burp Suite: Plataforma de testing de seguridad para aplicaciones
web, APIs y servicios móviles
Nmap: Escaner de puertos y servicios más popular
Nikto: Escaner de vulnerabilidades web
W3af:
2. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Susana González Ruisánchez
Managing Partner at ECIX Group
Especialista en derecho tecnológico,
seguridad de la información, protección de
datos de carácter personal, corporate
compliance, gestión de procesos de
innovación tecnológica, propiedad
industrial e intelectual, Legal Web
Compliance, comunicación y marketing
digital.
Abogado en ejercicio desde 1994.
Promotora/organizadora de #CONPilar y
Hack&Kids, conferencias en Zaragoza de
ciberseguridad, hacking y nuevas
tecnologías.
Docente en el Curso de Experto
Profesional en Derecho Tecnológico e
Informática Forense de la Universidad de
Extremadura y Mooc de Miriadax, del en
Master de Perito en Informática Forense
y Seguridad de la Universidad de
Salamanca; del máster de Cibderderecho
de la Universidad de Murcia y del master
de Compliance de ICAB.
Miembro de junta fundadora de
ANPHACKET (Asociación nacional de
profesionales del hacking ético, juristas y
miembros de seguridad del estado).
Who Am I
Auditora jefe certificada por Aenor en
Sistemas de Gestión de Seguridad de la
Información ISO 27001
3. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Definición del proyecto
Nombre y registro de dominio
Calidad, funcionalidades, costes
Gestión de contenidos enfocados al SEO/SEM
Cumplir con las leyes que regulan los negocios en Internet
Registrar la marca en los mercados a los que se va a dirigir
el negocio
Primeros pasos
4. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Privacy by Design & Security by Design
La privacidad y la seguridad no pueden ser garantizadas solo por cumplir con los
marcos regulatorios (que también)
Asegurar la privacidad debe convertirse en un hito importante de la planificación
y organización de un proyecto.
7 principios
Proactiva, no Reactiva; Preventiva no Correctiva
Privacidad como la Configuración Predeterminada
Privacidad Incrustada en el Diseño
Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
Visibilidad y Transparencia – Mantenerlo Abierto
Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Respeto por la Privacidad de los Usuarios – Enfoque Centrado en el Usuario
5. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Ley de Servicios de la Sociedad de la información y del Comercio
electrónico
Reglamento General Europeo
Protección de datos
Ley Orgánica de Protección de
Datos personales
Ley general de defensa de los consumidores y usuarios
Ley de propiedad intelectual
Ley de condiciones generales de contrataciónLey de marcas
Ley de competencia desleal
Ley General de Publicidad
Ley del comercio minorista
Ley reguladora del Derecho al Honor
Ley de Protección del Menor
¿Qué debe cumplir nuestra web/app/proyecto para cumplir los principios
de privacy & security by design?
6. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
¿PSI?
Suministro de información vía telemática Envío de comunicaciones comerciales
Contratación de bienes y servicios por vía electrónica
Ley de Servicios de la Sociedad de la información y del Comercio
electrónico: PSSI actividad económica
7. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Prohibición de comunicaciones no solicitadas o expresamente autorizadas:
Spam.
Práctica agresiva o desleal.
Obtención lícita de datos para contacto:
Contrato o relación precontractual
Consentimiento informado y expreso
Ofrecer oposición al tratamiento comercial de datos: baja (tanto en recogida y
como en comunicaciones) y el resto de derechos del GDPR (acceso, supresión,
portabilidad, rectificación...)
Responsabilidad por contenidos propios y subidos por usuarios:
Comentarios.
Buzón de denuncias y reclamaciones.
¿Qué obligaciones tenemos como PSI?
8. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Aviso legal y Condiciones de uso
Política de privacidad y cláusulas informativas en
formularios específicas a la finalidad del tratamiento
Política de cookies, auditoría de cookies y aviso de
primera capa.
Condiciones generales de la contratación: venta,
devoluciones, ofertas..
Medidas de seguridad técnicas a las bases de datos
personales + Plan de respuesta ante incidentes y fugas de
información
¿Cumple nuestra web?
¿Qué obligaciones tenemos como PSI?
9. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Unos textos legales bien redactados no es sólo la respuesta a una exigencia
normativa y para prevenir sanciones, sino especialmente una de las formas
de demostrar a un visitante que somos una empresa seria y de confianza,
que respetará sus derechos y actuará dentro de la Ley.
Legal Web Compliance:
10. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Aviso
legal
¿Qué deben contener los textos legales?
Asunción y
exclusión de
responsabilidades Condiciones
de uso
Política de
enlaces
Propiedad
Intelectual
Condiciones
generales de
contratación
Datos de
identificación
Legal Web Compliance:
11. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Derechos morales
Derecho de divulgación
Derecho de autoría
Derecho de integridad
Derecho de modificación
Derecho de retirada del comercio
Derecho e acceso al ejemplar
único
Propiedad Intelectual
Derecho de autor y derecho de firma:
Somos autores de nuestro CF, BBDD, programas, marcas, logotipos, textos
originales y trabajos audiovisuales
Derechos de explotación
Derecho de reproducción
Derecho de distribución
Derecho de comunicación
pública
Derecho de transformación
Precisan autorización del autor
Quién es el titular de los
contenidos de la web.
Política de enlaces
Usos permitidos y prohibidos
Quizás al titular no sólo no le
importe, sino que incluso le
convenga, que sus contenidos
sean reproducidos y utilizados
en otros sitios, siempre que se
indique la fuente original.
¿Qué deben contener los textos legales?Legal Web Compliance:
12. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Responsabilidades y Comercio electrónico
Si en el sitio ofrece al usuario algún tipo de herramienta,
asesoramiento o comercio electrónico, deberá mostrar unas
Condiciones Generales de la Contratación y/o del Uso, así como
cumplir determinados requerimientos en el proceso de
contratación.
¿Qué deben contener los textos legales?Legal Web Compliance:
13. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Política de privacidad y cláusulas informativas de tratamiento de datos en todos los
formularios: tipos de datos recogidos, finalidades, medidas de seguridad técnicas y
organizativas, ejercicio de derechos.
Si no funciona el link de baja o no existe el mail: AEPD sanción por infracción del artículo
21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y
Comercio Electrónico, apartado 1 y segundo párrafo del apartado 2 del mismo,
tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de
conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI
Con GDPR no cumplir estas cuestiones puede alcanzar el 4% del volumen de facturación
anual global!
¿Qué deben contener los textos legales?Legal Web Compliance:
14. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
De la identidad y dirección del responsable del tratamiento
o, en su caso, de su representante
De la posibilidad de ejercitar los derechos de acceso,
rectificación, supresión o cancelación, oposición,
portabilidad y limitación del tratamiento, mediante un
sistema sencillo y gratuito
Del carácter obligatorio o facultativo de su respuesta a las
preguntas que les sean planteadas
De la existencia y finalidad del tratamiento de datos de
carácter personal y de los destinatarios de la información.
De las consecuencias de la obtención de los datos o de la
negativa a suministrarlos
Si la web incluye un formulario de contacto, y siempre con la
precaución de solicitar únicamente los datos imprescindibles,
deberá cumplir las condiciones del Reglamento General de
Protección de Datos (GDPR).
Esta cláusula es necesario incluirla además en el propio
formulario, ya que el visitante no está obligado a visitar el
Aviso Legal.
Si se hace mediante un enlace, será necesario incluir un
check sin premarcar, para tener una prueba del
consentimiento expresado por el usuario así como para
gestionar sus solicitudes de ejercicio de derechos.
Protección de Datos
Debe informar:
Legal Web Compliance:
15. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Acceso
Rectificación
Cancelación
o Supresión
Oposición
Portabilidad
Limitación
Objetivo: que el usuario
conservar el control sobre sus
datos personales.
Sólo pueden ser ejercidos por
el titular de los datos, por su
representante legal o por un
representante acreditado.
Debe propiciarse el ejercicio
gratuito, fácil y ágil.
Protección de DatosLegal Web Compliance:
16. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Política de cookies, aviso de primera capa de cookies y auditoría de cookies que instala el
navegador en los dispositivos del usuario al navegar por la web.
¡¡Importante!! Minimizar la instalación de cookies e identificar bien las cookies y otras
tecnologías de tracking & profiling.
Legal Web Compliance: Cookies y tecnologías similares (beacons, pixel,
Local/Session Storage,…)
Debe facilitarse información clara y completa sobre su
utilización y finalidad del tratamiento de datos (Primera capa,
política de cookies y auditoría).
El usuario ha de prestar su consentimiento para su instalación y
guardarse la evidencia de la aceptación/configuración
Se debe facilitar al usuario la configuración y/o
eliminación de cookies
17. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Notificación fugas datos | incidentes seguridad.
Medidas de seguridad técnicas y organizativas
“adecuadas”
Implantar medidas organizativas ”adecuadas”
para informar, atender derechos, recoger
datos, etc.
Suscribir contratos ET
Recoger (y almacenar su evidencia) el
consentimiento explícito por parte del
usuario.
Otros deberes Privacy & Security by Design
Valorar riesgos y decidir (asumir, externalizar
controlar).
18. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
¿Tiene el desarrollador que ser experto en derecho tecnológico?
Dos aspectos fundamentales desde el punto de vista del desarrollador:
Tiene “obligación” de entregar un proyecto que cumpla todas
las leyes que le aplican
Es responsable de informar al cliente de la posibilidad de
subcontratar ese cumplimiento legal
OJO con:
CTRL-P / CTRL-V Los textos deben ser específicos
Intrusismo profesional
19. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Security by Design
Un 95 por ciento de los ataques con éxito se debe a un software mal programado,
con un mantenimiento deficiente y con una configuración inadecuada
(Thomas Tschersich, jefe del departamento de Seguridad Interna & Protección frente a los ciberataques en Deutsche Telekom)
La seguridad desde el diseño obliga a analizar los riesgos de seguridad y las posibles
vulnerabilidades de nuestro proyecto desde el mismo momento que comenzamos a
diseñarlo, así como a hacer una evaluación de la previsión del ciclo de vida de la
seguridad de la información con la que se vaya a trabajar en el proyecto.
20. susana@susanagonzalez.es
@SuDigitalLawyer
www.susanagonzalez.es
C/ Zurita, 10 Entlo Dcha – 50001 ZARAGOZA
contactozgz@ecixgroup.com
976113757
Security by Design (algunas herramientas)
Open Web Application Security. Proyecto de código abierto
dedicado a determinar y combatir las causas de que el
software sea inseguro = Estándar de medidas de control
OWASP:
SAST:
Static Application Security Testing. Test de White Box, de
dentro hacia afuera, que analiza el diseño del código para
descubrir fallos de seguridad.
DAST:
Dynamic Application Security Testing. Test de Black Box, de
afuera hacia dentro, que analiza proyectos o aplicaciones
en su versión final, para comprobar su cumplimiento con
estándares de seguridad y privacidad.